Investigación sobre caso “Cebolla Chan” - versión 1.0 
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YOU JARE HERE 


IRRELEVANT 


(Edit: al momento de retomar este documento han pasado meses desde 
que comencé a redactarlo, algunos sitios estan offline pero trataré 
de reestructurar todo a lo largo del mismo). 


Este documento recopila información valiosa que he analizado por 
algunos meses, fruto de análisis lógico y aplicación de técnicas 
básicas de osint. 


A continuación mediante el presente e-book les muestro parte de mi 
investigación que busca generar un análisis sobre la estructura de 
cierto núcleo de actividad hispana en la darkweb 


SOM 


Cebolla Chan es una comunidad underground que data desde el 17 de 
octubre de 2014, que actualmente tiene alrededor de 108,000 miembros 
registrados y 108,667 mensajes en 19,823 temas según las estadísticas 
del foro a la fecha, es un foro generalista con temáticas entre ellas 
están: Inteligencia, Erótica, Ingeniería financiera, Bolsa de empleo. 


El foro cerró temporalmente por cuestiones de seguridad según el 
admin SysOp allá por septiembre del 2016 como podemos notar en el 
siguiente gráfico que tomé de: 
https://ww.rsaconference.com/industry-topics/presentation/cebolla- 
chan-30-a-window-into-the-chaotic-spanishlanguage-underground 

&& 


https ://www.flashpoint-intel.com/blog/podcasts/collective- 


intelligence-podcast-spanish-language-cybercrime-underground 


Cebolla Chan 3.0 


Timeline of Activity 


CEBOLLA CHAN 3.0 


Ss x » 


? ? 
| “Adding Security Improvements” 


October 2014 September 2016 March 2018 


b FLASHPOINT 14 RSAConference2018 


E un día allá por el 12 de abril de 2018 todo volvió a funcionar: 


Bienvenid@s a Cebolla Chan 3.0 // 2018 // - Tor Browser 


Bienvenid@s a Cebolla Chan 3 X | + Navegación privada 


— C ®© é stcco2jylmxqcdeh.onion/w 


iHola, Invitado! Iniciar sesión Regístrate Po Buscar (by TORCH) 


Cebolla Chan 3.0 » Cebolla Chan > Cebolla Chan Info y 
+= Bienvenid@s a Cebolla Chan 3.0 // 2018 II 


Páginas (1): 1 2 3/4/15 ...7) Siguiente» | Ww Calificación: 37337737 


Bienvenid@s a Cebolla Chan 3.0 // 2018 // Modos de tema 
$1 
Cebolla Chan, el auténtico, el legendario, ha vuelto. 


Se conservaron los usuarios, hilos, posts, privados, etc, que había en 2016 antes de cerrar el foro. 


SysOp + 


PE ES Las normas serán revisadas para adaptarlas a la actualidad. 


[es] Responder 


Suen nenrihiár oo 


2018-04-19, 09:27 AM #19 


En realidad estan todos en Alcala-Meco y este foro esta siendo administrado por la poli para pillaros uno a uno. 
A que acojona? 
SysOp + Pues no: Cebolla Chan ha vuelto, con su equipo de siempre, bueno, algunos hemos perdido por el camino. 


#7 Buscar [A Responder 


Claro, antes se envió un email a todos los usuarios invitándoles a 
regresar al foro: 


soy SysOp, de Cebolla Chan 3.0 y te escribo para anunciarte que el foro vuelve a 
estar en linea y por mucho tiempo. 


Como sabes, Cebolla Chan 3.0 cerró de forma preventiva dado que la infrastructura de 
sistemas donde se alojaba no era lo suficientemente segura. Durante este tiempo he 
estado montando una estructura desde cero para que el foro pueda ser operado con 
seguridad y fiabilidad. 


Te animo a que vuelvas: está todo igual que el último día en 2016. Encontrarás todos 
los hilos y más de cien mil mensajes. 


Bienvenid@ de nuevo 
Sysop 


http://s6cco2jylmxqcdeh. onion 


Moderado por: Moderators, Mods-INTELIGENCIA 
Erótica 
Material porno, erótico, etc, de +18. 


Moderado por: Moderators, Mods-Erótica 


Conspiranoia 


1,193 


12,083 


Cebolla Chan 3.0 - Tor Browser -ax 

Cebolla Chan 3.0 x k 
e @ | Q Buscar con DuckDuckGo o introducir dirección Os sU 

Ibl TENGO METODO CASH OUT 

General, random, cualquier tema 5,549 31,116 59 minutos 

Moderado por: Moderators, Mods-Erótica por Piaton772 

INTELIGENCIA Instrucciones elaborar ar... 

Temas sobre Inteligencia, espionaje e investigación: COMINT, SIGINT, ELINT. 1,225 8,419 11 horas 


por darksoul171109 
¡COMO VER FOTOS DESNUDA D... 
8 horas 


por einsteinforever 


alguien tiene datos de le... 


v Teorías de la conspiración, OVNI, fenómenos paranormales, creepy pasta. 1,120 8,303 
Moderado por: Moderators, Mods-Conspiranoia 


2020-01-02, 06:44 PM 
por Verano_Verde 


Feedback: Propuestas para... 


Feedback 


2 17 2019-12-22, 10:41 AM 

Opiniones sobre mercados, vendedores y compradores. das 
Regalo Bin de Amazon Prim... 

w nges, ete. 3,417 15,643 Lhora 
por Piaton772 

Tecnologia Servicio de Hosting Red T... 

= Informatica, telecomunicaciones, TOR, Hidden Services, hacking, phreaking, phishing, troyanos 3,847 17,050 , 10:19 PM 
Moderado por: Moderators, Mods-Tecnologia por evgboga 
Bolsa de empleo Psilocybe cube busca soci... 

v Ofertas para trabajos, proyectos, nes, en la deep web. 1,344 5,274 2020-01-02, 02:28 PM 
Moderado por: Moderators, Mods-Bolsa de Empleo por itlecarrot 
Descargas Kon boot v2.5 

@ Warez, cracks, series, peñcuas 1,162 6,718 4 horas 
Moderado por: Moderators, Mods-Descargas por deih21 
Música 152 dosis auditivas 

184 754 2019-12-19, 10:06 PM 


Maderaro nar: Marde-Míúsica por aauiles balovo 


En el foro podemos notar que entre los las secciones con mayor 
actividad está /b/ que son publicaciones sin una temática definida, 
Erótica que es una sección llena de jailbait, porno de venganza, e 
intercambio de pornografía infantil; valga la redundancia y 
Ingeniería financiera/Bolsa de empleo/Feedback que están orientadas a 
cibercriminales que intercambian/compran/venden contactos, 
información bancaria, además de reclutar personas para hacer sus 
fechorías. 


e 


Cebolla Chan 3.0 - Ingeniería fin X 


Cebolla Chan 3.0 - Ingenieria fin X 


Cebolla Chan 3.0 - Ingeniería financiera. 


Cebolla Chan 3.0 - Erótica x 


- Tor Browser - 0 


C | ®© é s£cco2jylmxqcdeh.onion/w/torumdispla 


~wl/Ow*ws @ = 


à + Regalo Bin de Amazon Prime 
z Platon772 


> =® Me urge Provedor de Galletas Colombianas, Chilenas y Mexicanas 
= Platon772 


Y TE SACAMOS DEL BURÓ DE CREDITO. 
expertbtc 


mn Y Se busca socio... 
cebollagan 


` = Intercambio 1000 BCH por solo 0.1 BTC 
> mikefohn2017 


a Y buen dia soy nuevo en la deep web donde puedo conseguir 
= d4rksoft 


à = quien vende dumps traks 102 
z 5rg15 


Y COMPRA DE ARMAS ESPAÑA + PAGO POR QUIEN ME PONGA EN 
CONTACTO 
PsychoDante98 


Y Se venden cuentas Netflix 
= Noctis3730 


T Lista de estafadores no es mia pero es de un lugar fiable 
Tatareto 


= Necesito trabajo. Hago lo que sea. 
baiop 


D = Busco socios en MX para trabajar bancos 
turko31337 


Cebolla Chan 3.0 - Erótica 


e 


Erótica 


é s6cco2jylmxqcdeh.onion/w/fo 


17 


3 2 minutos 
Último mensaje: damian6 


2 z 1hora 
Útimo mensaje: Platon772 


2 horas 


5 Ai Último mensaje: Platon772 
2 horas 

= Utimo mensaje: Piaton772 
o 5 horas 
Último mensaje: mikejohn2017 

2 1 11 horas 
Último mensaje: d4rksoft 

T , 09:01 AM 
Último mensaje: frg15 

= , 09:44 AM 
Último mensaje: darksoull71109 

et 2020-01-03, 08:15 PM 
Último mensaje: lolograre 

161 2020-01-03, 04:29 PM 
Último mensaje: Cuervo Blanco 

3 2020-01-03, 09:34 AM 
Último mensaje: evgboga 

-01-4 "i 

= 2020-01-02, 05:25 PM 


Último mensaje: Keenan 


imdisplay.php?fid=9 


Tema / Autor 


Temas importantes 


ll 
ke 
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Torplay a sido privatizado de por vida por su falta de donacion 
GearsofTor 


NUEVAS REGLAS PARA PUBLICAR (Paginas: 1 2) 
Freeman 


COMO COMPARTIR VIDEOS 
SysOp 


Temas normales 


Encuesta: ® ¡COMO VER FOTOS DESNUDA DE LA CHICA QUE TU QUIERAS 
SI ERES SU AMIGO CLARO! 
Verano_Verde 


= Compartir Links 
Paindark 


PAGINA ADOLSCENETES LATINOAMERICA XXX 
Verano_Verde 


= Varias fotos y ayuda 
Jorgenitales 


+ Sexocial ya esta en la deepweb! 
sxa 


=% pendeja se toca en el baño 
mistery77 


+ links 


Respuestas 


Marcar este foro como leído | Suscribirse a este foro 


Vistas Puntuación Último mensaje [asc] 


2019-05-12, 07:12 PM 
Último mensaje: GearsofTor 


2018-05-26, 01:47 PM 
Último mensaje: MrSandman 


2015-04-18, 07:14 PM 
Último mensaje: SysOp 


8 horas 
Último mensaje: einsteinforever 


11 horas 
Último mensaje: zinremedioo 


11 horas 
Último mensaje: zinremedioo 


, 12:15 AM 
Ultimo mensaje: kanekikenn 


, 06:34 PM 
Último mensaje: TIMS 


2020-01-02, 04:54 PM 
Último mensaje: kanekikenn 


2020-01-02, 07:22 AM 


Detalle interesante: 
Ahora nos vamos con el foro erótica, y aquí tenemos las reglas del 
mismo escritas por el moderador “Freeman” el 11 de abril de 2015: 


NUEVAS REGLAS PARA PUBLICAR - Tor Browser -5x 


Cebolla Chan 3.0 - Ingeniería fin X | Torplay a sido privatizado de po X | COMO COMPARTIR VIDEOS X + NUEVAS REGLAS PARAF X | Cebolla Chan 3.0 - Lista de mie X | + 


X | © stcco2jylmxqcdeh.onion/w/showthread php?tid=604 J |e 2 O07 sa 
Páginas (2): 1 2 Siguiente» Calificación: 337377 Tema cerrado 
NUEVAS REGLAS PARA PUBLICAR Modos de tema | 
@ 2015-04-11, 11:23 PM SysOp #1 
(A) Con el objetivo de mejorar la calidad del foro y beneficiar a la mayoría de los usuarios hemos decidido establecer una 
serie de condiciones para publicar nuevos temas. 
Freeman e A partir de ahora ya no se permiten los posts pidiendo intercambio de material por email o MP, este tipo de posts solo se 
Moderator llenan de spam y no aportan nada. 


Tampoco se permite pedir reputación o cualquier otra cosa (dinero, pornografía, cuentas premium...) a cambio de dar un 
link de descarga o contraseña de los archivos descargados. 
Los posts ofreciendo material deben tener imágenes y links de descarga, en caso de que los archivos tengan 

12014 contraseña esta debe estar escrita en el mismo post. 


En resumen: 


e NO PEDIR INTERCAMBIO 

e NO PUBLICAR EMAILS 

+ NO PEDIR REPUTACIÓN A LA FUERZA 

e NO PONER CONDICIONES PARA DESCARGAR 

+ NO ENLACES PUBLICITARIOS PARA ACCEDER A CONTENIDOS (INTERSTITIALS) 

e SI COMPARTIR MATERIAL DE CALIDAD LIBREMENTE 

e PUBLICAR 2 O MAS CAPTURAS DEL VIDEO COMPARTIDO 

e SOLO UTILIZAR LAS WEBS DE DESCARGAS LISTADAS EN EL HILO: 
http://s6cco2jylmxqcdeh.onion/w/showthread.php?tid=6320 
(Se pueden proponer otras webs: gratis, sin Javascript ni Flash) 


Muchas gracias por su atención y que tengan un buen día. 


me | Ð Buscar | | diz Reputación T Reportar 


Conectando a sial subirimagenes.net... 


EJ Emai 


Transcripción: 


Con el objetivo de mejorar la calidad del foro y beneficiar a la 
mayoría de los usuarios hemos decidido establecer una serie de 
condiciones para publicar nuevos temas. 

A partir de ahora ya no se permiten los posts pidiendo intercambio de 
material por email o MP, este tipo de posts solo se llenan de spam y 
no aportan nada. 


Tampoco se permite pedir reputación o cualquier otra cosa (dinero, 
pornografía, cuentas premium...) a cambio de dar un link de descarga 
o contraseña de los archivos descargados. 

Los posts ofreciendo material deben tener imágenes y links de 
descarga, en caso de que los archivos tengan contraseña esta debe 
estar escrita en el mismo post. 


En resumen: 
e NO PEDIR INTERCAMBIO 


e NO PUBLICAR EMAILS 

e NO PEDIR REPUTACIÓN A LA FUERZA 

e NO PONER CONDICIONES PARA DESCARGAR 

e NO ENLACES PUBLICITARIOS PARA ACCEDER A CONTENIDOS 
(INTERSTITIALS) 

e SI COMPARTIR MATERIAL DE CALIDAD LIBREMENTE 

e PUBLICAR 2 O MAS CAPTURAS DEL VIDEO COMPARTIDO 

+ SOLO UTILIZAR LAS WEBS DE DESCARGAS LISTADAS EN EL HILO: 
http://s6cco2jylmxgcdeh.onion/w/showthread.php?tid=6320 


(Se pueden proponer otras webs: gratis, sin Javascript ni Flash) 


Muchas gracias por su atención y que tengan un buen día. 


AT link que redirige es a uno del administrador del foro llamdo 
“Sysop” que transcribiré a continuación: 


2015-04-18, 07:14 PM (Este mensaje fue modificado por última vez en: 
2018-04-12, 02:35 PM por Sys0p.) 

Es importante subir los videos a webs de descargas que permitan 
trabajar sin Javascript y es preferible que se encuentren en Tor. 


Como últimamente en Tor nos estamos quedando sin servicios de 
descarga de ficheros, podemos utilizar la siguiente web: 


http://bcloud2suoza3ybr.onion/ - Black Cloud 


Este servicio no aplica restricciones en el tipo de ficheros a subir. 
Encripta automáticamente los ficheros una vez subidos de modo que no 
es necesario usar contraseñas en los 7z, zip, rar, etc. 


En cada post donde se compartan videos debe ir la siguiente 
información: 


1. Enlace a la descarga 


2.2 o más capturas de video. Se pueden adjuntar como imágenes. 
3. Contraseña en caso de ser un fichero encriptado o rar/zip 
protegido. 


COMO COMPARTIR VIDEOS - Tor Browser -5x 
Cebolla Chan 3.0 - Ingeni' X | Torplay a sido privatizado X | COMO COMPARTIR VID! X | NUEVAS REGLAS PARA X | COMO COMPARTIR VID! X | Cebolla Chan 3.0 - Lista: X | + 
> C | © é s6cco2jylmxqcdeh.onion/w/showthread.php?tid=632: O-% Ow*rs @= 
COMO COMPARTIR VIDEOS Modos de tema 
pam @ 2015-04-18, 07:14 PM SysOp #1 
Es importante subir los videos a webs de descargas que permitan trabajar sin Javascript y es preferible que se 
= encuentren en Tor. 
SysOp 
‘Administrator Como ultimamente en Tor nos estamos quedando sin servicios de descarga de ficheros, podemos utilizar la siguiente 
web: 
Te http://bcloud2suoza3ybr.onion/ - Black Cloud 
Reg O 
Rep 29 
Este servicio no aplica restricciones en el tipo de ficheros a subir. Encripta automaticamente los ficheros una vez subidos 
de modo que no es necesario usar contraseñas en los 7z, zip, rar, etc. 
En cada post donde se compartan videos debe ir la siguiente información: 
1. Enlace a la descarga 
2. 2 o más capturas de video. Se pueden adjuntar como imágenes. 
3. Contraseña en caso de ser un fichero encriptado o rar/zip protegido. 
[EZ Ema Z MP Buscar | diy Reputación 9 Reportar 
« Tema anterior | Tema siguiente » Introducir palabras Buscar en el tema 


Bueno tomando en cuenta que bcloud es un servicio que ha sido 
publicitado principalmente por cebolla chan podemos hacer nuestras 
propias especulaciones acerca de ello.. 


http://bcloud2suoza3ybr.onion/ 
http://archive.is/ZCQ6P 


BlackCloud - http://bcloud2suoza3ybr. onion - Upload files - Tor Browser 


La Wiki Oculta (Hidden W X | 8 Public timeline - socie X 4 Servidor no encontrado X | BlackCloud - http://bclouc X | Cebolla Chan 3.0 - Ceboll= x 


€ Œ © é bcloud2suoza3ybr.onion -g ozsa 


Black @> Cloud 
Black Cloud, servicio Do 


1 1 File 
de intercambio de E ++ 
archivos anónimo que 

permite la subida de 
cualquier tipo de 


Home - Use Conditions - About- Donate - Advertise here! 


M 


archivo/contenido. A 


Ahora vamos con otro sitio que es promocionado por el foro, una red 
social de microblogging basada en Gnusocial que fué puesta en línea 
el 7 de febrero de 2018. 


http://society44nlbxqdz.onion 
http://archive.is/wip/v9QxM 


» Gal: g Publ 


Public timeline - society - Tor Browser 


8 Noti g Noti g Noti 8 Noti 


= 


> 


C ®© é society44nlbxqdz.onion/main/public 


N 


PUBLIC 
Public 
Network 
Groups 
Recent tags 
Popular 


People 


PUBLIC TIMELINE 


cur8 started following misty. 
about 7 minutes ago from activity [permalink] 


cur8 started following Ramzees. 
about 33 minutes ago from activity [permalink] 


Ñ cur8 » Katja Anema 
y your cute :) 


about 39 minutes ago from web [permalink] 


cur8 started following Eis Horshel. 
about 41 minutes ago from activity [permalink] 


cur8 started following Katja Anema. 
about 51 minutes ago from activity [permalink] 


Katja Anema started following cur8. 
about 51 minutes ago from activity [permalink] 


t Noami 
od :) with cat $ http://society44nlbxqdz.onion/attachment/1812 


about 2 days ago from web [permalink] 


BlackC! Cebolla ca > + y 


“Os su 
Login Q 
TRENDS 
buy 
driverlicense 
driverlicenseahtt 


p 
driverlicenseallst 


ates 
driverlicenseonly 
hire hitman 
license 
passports rent 


POPULAR NOTICES 


L, Timmi » in reply to 
Hi Franziska! 


Luego seguimos con un sitio de publicidad al que hacen referencia 
cebolla chan y blackcloud, “area32”, campañas de publicidad en la red 


tor, algo emprendedor no? 


area23wa3d32yygu.onion 


http://archive.is/OkoUL 


AREA23 Advertising Services :: Login - Tor Browser 
g Notice BlackCloi AREA2 X | Cebolla C Cebolla C 


C ®© é area23t23azzonor.onion/auth/login “Ossa 


Please, enter your login data 


@ Is Cel g Public g Notice g Notice g Notice area23wa + 


Email Address (torbox3uiot6wchz.onion) 


Password 


Login 


A continuación tenemos el sitio de hosting en la darkweb “kowloon 
hosting” que ofrece alojamiento en la darknet de forma fácil y 
práctica. 


Kowloon Hosting Services > kowloon5aibdbege.onion 


Home Contract our services Technology Support Contact 


Welcome 


Kowloon Hosting Services offers virtual hosting with .onion domain name creation at low prices. 


ounts with no charge 
a virtual host, please contact us 


http: //kowloon5aibdbege.onion/ 
http://archive.is/Q2AAL 


Además de un sitio que se dedica a subir fotos eróticas de dudosa 
legalidad “The beauty”, no subiré el screenshot por cuestiones 
legales. 


lulzwrzcle5ks3se.onion 


http://archive.is/F4iVi 


Y para finalizar tenemos al famoso sitio de email gratuito en tor 
“Torbox”, noten que todos los sitios que he mencionado anteriormente 
recomiendan mucho a este servicio, algo muy interesante. 


torbox3uiot6wchz.onion 


http://archive.is/csnrl 


[TorBox] The Tor Mail Box - Tor Browser 


@ Is Ce s g Noti g Noti g Noti g Notic BlackCl AREA23 [TorBo X | Cebolla Cebolla Cebolla + 


A Buscar con DuckDuckGo o introducir dirección O 4. a 


welcome to TorBox. 

This is a hidden mailbox service only accessible from TOR. There is no connection 
between TorBox and the public internet: All the messages are sent and received 
within TorBox. 


Just for a new TorBox and start sending and receiving email within TOR. 


Contact us at postmaster @ torbox3uiot6wchz.onion 
You can use our 


Pondré los headers de cada sitio por aqui: 


area23wa3d32yygu.onion 

HTTP/1.1 200 OK 

Server: nginx 

Date: Mon, 16 Mar 2020 03:19:56 GMT 
Content-Type: text/html 

Content-Length: 0 

Last-Modified: Thu, 26 Jul 2018 22:05:05 GMT 
ETag: "5b5a4591-0" 


Accept-Ranges: bytes 


http://s6cco2jylmxqcdeh. onion 

HTTP/1.1 200 OK 

Date: Mon, 16 Mar 2020 03:01:45 GMT 

Server: Apache 

Last-Modified: Mon, 12 Mar 2018 21:14:43 GMT 
ETag: "1b3190-271-5673dal177fee3" 
Accept-Ranges: bytes 

Content-Length: 625 

Content-Type: text/html 

"x-powered-by": "PHP/5.6.32" 


torbox3uiot6wchz.onion 

HTTP/1.1 200 OK 

Date: Mon, 16 Mar 2020 03:22:14 GMT 
Server: Apache/2.4.10 (Debian) 
Content-Type: text/html; charset=UTF-8 


http://society44nlbxqdz.onion 
HTTP/1.1 303 See Other 
Date: Mon, 16 Mar 2020 03:20:41 GMT 


Server: Apache/2.4.10 (Debian) SVN/1.8.10 mod_fcgid/2.3.9 mpm- 
itk/2.4.7-02 PHP/5.6.40-0+deb8u8 OpenSSL/1.0.1t 


X-Powered-By: PHP/5.6.40-0+deb8u8 

Vary: Accept-Encoding, Cookie 

Location: http://society44nlbxqdz.onion/main/all 
Content-Type: text/html; charset=UTF-8 


http://bcloud2suoza3ybr.onion/ 
HTTP/1.1 200 OK 
Date: Mon, 16 Mar 2020 03:35:24 GMT 


Server: Apache/2.4.10 (Debian) SVN/1.8.10 mod_fcgid/2.3.9 mpm- 
1tk/2.4.7-02 PHP/5.6.40-0+deb8u8 OpenSSL/1.0.1t 


X-Powered-By: PHP/5.6.40-0+deb8u8 
Content-Type: text/html; charset=UTF-8 


http: //kowloon5aibdbege.onion/ 
HTTP/1.1 200 OK 
Date: Mon, 16 Mar 2020 03:35:20 GMT 


Server: Apache/2.4.10 (Debian) SVN/1.8.10 mod_fcgid/2.3.9 mpm- 
itk/2.4.7-02 PHP/5.6.40-0+deb8u8 OpenSSL/1.0.1t 


Last-Modified: Sat, 09 Mar 2019 09:37:13 GMT 
ETag: "722-583a6158e2440" 

Accept-Ranges: bytes 

Content-Length: 1826 

Vary: Accept-Encoding 

Content-Type: text/html 


lulzwrzcle5ks3se.onion 
HTTP/1.1 303 See Other 
Date: Wed, 18 Mar 2020 01:44:13 GMT 


Server: Apache/2.4.10 (Debian) SVN/1.8.10 mod_fcgid/2.3.9 mpm- 
itk/2.4.7-02 PHP/5.6.40-0+deb8u8 OpenSSL/1.0.1t 


X-Powered-By: PHP/5.6.40-0+deb8u8 
Location: http://lulzwrzcle5ks3se.onion/g2/ 


Content-Type: text/html; charset=UTF-8 


De estos sitios vamos a empezar, actualmente todos ellos están en 
línea y desde ellos vamos a realizar correlaciones que nos permitirán 
ir descubriendo poco a poco el iceberg. 


Para empezar quiero destacar que los siguientes sitios tienen la 
misma huella digital cuando revisamos las cabeceras con el comando 
“torsocks curl -I link.onion” 


lulzwrzcle5ks3se.onion 
bcloud2suoza3ybr.onion 
society44nlbxqdz.onion 


kowloon5aibdbege.onion >» Servicio de hosting 


Mira que me interesó mucho el asunto, ya que por experiencia en el 
pasado suele existir una posibilidad que los sitios estén alojados en 
el mismo servidor, añadirle a ello que todos los sitios se 
publicitan entre sí y hay varias similaridades. 


) Kowloon Hosting Services + kowloon5aibdbege.onion - Tor Browser -5x 


Cebolla Chan 3.0 - Perfil: X | BlackCloud - http://bclouc X | 8 Notices by Cebolla Ch X | 8 Notices by Gearsofto X | § Notices by society (sc X | $J Kowloon Hosting Ser X | society44nibxqdz.onion/a: X | + 
© 


€ C 0 é kowmoon5aibdbege-onion/servi | BD -* Oy y sa 


Services, pricing and ordering 


We are offering the following services: 


+ HTML and PHP 5 web hosting. 

+ Dedicated and customized .onion domain 

+ We can import and use your already created .onion domain + privkey. * * Contact us before ordering * * 

+ 256 MB to 2 GB of storage 

+ A MariaDB (MySQL) database with PHPMyAdmin administration 

+ MariaDB 10.1 Cluster Database. Note: Check your application is compatible with MySQL/MariaDB Multi- 
Master Cluster. Otherwise problems may occur when balancing the service 

e FTP access. 

e Virtualmin Control Panel with upload/download tools. 

Reliable hardware and Debian GNU/Linux operating system 

+ Isolated Hidden Service. 

+ Isolated server. 

+ Encrypted LVM volumes 

e System administrated by technology skilled people and freedom of speech activists 

e Direct access to 's relay server. 

+ URL added to Torch: crawler. 


Prices: 
*** 20% Discount applied to all prices from Feb. 2017 *** 


*** 10% Additional Discount applied to all prices from Jun. 2017 *** 


Además para confirmar mis sospechas he usado un software para hacer 
un ddos utilizando un ataque slowpost que satura el servidor de 
peticiones incompletas hasta que se estresa a tal punto que colapsa, 
diriguí un fork de slowloris usando tor como proxy hacia el foro 
cebolla chan y.. Tadan! Los sitios anteriormente mencionados estaban 
caídos al mismo tiempo, incluyendo torbox, y si, accedí desde otra 
red para verificar ello y 
no fuera mi ancho de 
banda el saturado, si 
usted es parte de una 
agencia de inteligencia 
este es un paso que no 
deberían saltar. 


Ahora atacaré a lo principal, veamos a el grupo de administración del 
foro cebolla chan: 


j Cebolla Chan 3.0 - Equipo del foro - Tor Browser agi- 
Necesito informacion en españ: X | Cebolla Chan 3.0 - Equipo deli X | Twitter Clone ha vuelto X | TWEETER CLON xi+ 
La V e rd a d'€ D é s6cco2jylmxqcdeh.onion/w/sh Bl oe WY O NS a = 
es que no YOR LIST 
q Administrators 
he 
ə SysOp (Oculto) He MP 
Moderators 
Nombre de usuario Última visita Email 
ə DeepCreep: 2016-09-17, 07:40 PM EZ MP 
ə Freeman (Oculto) EZ Email A MP 
ə Ireshop 2019-09-13, 02:00 PM | [3 Email «J MP 
ə Lolos 2020-01-30, 11:39PM. [EZ Email MP 
ə nes 2014-11-04, 08:05 AM ŒJ Email MP 
@ O3ZONE 2020-02-04, 07:18 AM £J Email J MP 
Lider(es) 
Nombre de usuario Ultima visita Email MP 
ə SysOp Comerciantes (Oculto) E Emai A MP 
C 


encontrado nada de interés en la actividad de los otros usuarios, a 
excepción de “nes”. 


a 


Cebolla Chan 3.0 - Perfil de nes - Tor Browser 


Necesito informacion en españ: X | Cebolla Chan 3.0 - Perfil de nes X | Twitter Clone ha vuelto X | TWEETER CLON x + 


C © é stcco2jylmxqcdeh.onion/w/member php?action=profileguid=5 BD -/0OY sa 


Pemi ae nes 


SCAM 


nes 


(Moderator) 
Fecha de registro: 2014-10-18 IN 


Fecha de nacimiento: No especificado 
Hora local: 2020-03-19 en 03:12 AM 
Estado: 


Información sobre nes Información adicional sobre nes 


Ingresó: 2014-10-18 Sex: Undisclosed 


Última visita: 2014-11-04, 08:05 AM 
Agregar a mi lista de amigos | @ Agregar a mi lista de ignorados 


6 (0 mensajes por día | 0.01 % del total) 


(Buscar sus mensajes) Reportar usuario 


Mensajes totales: 


1 (0 temas por día | 0 % del total) 


Temas totales: 
(Buscar sus temas) 


Tiempo en línea: 2 Horas, 15 Minutos, 20 Segundos 


Reputación: 0 [Detalles] [Votar] 


Detalles de contacto de nes 


Página web: http://3fym?7qpu7jsijat7 onion/ 


Primera conexión en C.C: 18/10/2014 
Última Conexión en C.C: 04/11/2014 


Tiempo de existencia de cuenta: 2 semanas 


De los primeros 5 usuarios de C.C: siendo el único inactivo no 
borrado 


Conocido de Sys0p(?) 


Tiene algunos cuantos mensajes en las dos horas que estuvo en línea. 


Cebolla Chan 3.0 - Resultados de la búsqueda - Tor Browser 


Necesito informacion en españ: X | Cebolla Chan 3.0 - Resultados X | Cebolla Chan 3.0 


€ C | ®© é stcco2jylmxqcdeh.onion/w/search php? 


Cebolla Chan 3.0 > Búsqueda 
+ Resultados 


Resultados de la búsqueda 


Mensaje Respuestas Vistas Enviado [asc] 


Tema: Links sobre Seguridad y Anonimato 
Mensaje: RE: Links sobre Seguridad y Anonimato Tecnología 1.004 2014-11-04, 08:01 AM 
http://3fym7qpu7jsijat7 .onion/ En construcción 


Tema: Facebook en la deepweb 
Mensaje: RE: Facebook en la deepweb T loai 2368 2014-11-04, 07:57 AM 
(2014-11-01, 04:49 PM)empanadita escribió: no me deja rejistrarme en torbook Necesitas habilitar cnoo : Fea Sit Cah y 


JavaScript para el registro 


Tema: Necesito informacion en español sobre seguridad informatica 

Mensaje: RE: Necesito informacion en español sobre segurida... A 

+ A : Tecnologia 4,040 2014-10-21, 01:59 PM 
Hola juancarlos. Puedes empezar por aquí http://3fym7qpu7jsljat7.onion . Esta en construcción pero en 

una semana estará terminado 


Tema: Como encriptar todas tus conexiones a Internet desde Ubuntu 14.10 
Mensaje: RE: Como encriptar todas tus conexiones a Internet... INTELIGENCIA 4.776 2014-10-18, 09:16 PM 
Buen manual 


Contactanos CebollaChan3.0 Volverarriba Archivo (Modo simple) Sindicacion RSS 


Powered By MyBB, © 2002-2020 MyBB Group. Hora: 202 


Desde su perfil de moderador hace alusión a cierto sitio (Que ya no 
existe) “Nes web” http://3fym7qpu7jsljat7.onion/, que era un sitio 
basico en html sin javascript con el que pretendia mostrar sus 
conocimientos sobre seguridad y anonimato en la red tor, gracias a la 
todopoderosa internet archive podemos ver lo que era: 


https://archive.is/9Xwyc 


Manuales para los principales métodos de conexión a la red Tor 
Cen construcción) 


E O © @ 


EXPLORADOR WEB STANDAR + WWW. ONTON.LT 
Dificultad: Ninguna Seguridad: 


CH FYE: 


SISTEMA OPERATIVO NATIVO + TOR BROWSER BUNDLE 
Dificultad: Baja Seguridad: 


© + 


TAILS DEBIAN LIVE CD + TOR BROWSER BUNDLE 
Dificultad: Media Seguridad: Media 


<> $? 


De la primera vez que se tiene constancia de la existencia del sitio 
es desde 2014-10-21 según el post de el foro, después no se supo más 
de su creador ni del sitio, a la fecha sabemos que el sitio estaba 
alojado en el hosting de Freedom Hosting II que fué hackeado allá por 
2017 y los hackers filtraron la base de datos y archivos de sistema, 
por lo cual pueden darse gusto buscando más info allí. 


Lista de sitios en el hosting: https://pastebin.com/gRWYY9z4 


Archivos de sistema: https://s3-eu-west- 
1.amazonaws.com/freedomhosting2/fhosting-system.tar.gz.torrent 


Base de datos: https://s3-eu-west - 
1.amazonaws.com/freedomhosting2/fhosting.sql.gz.torrent 


Lo que encontré con el comando grep es hermoso, he hallado la 
privatekey que me permite usar ese dominio .onion 


3fym7qpu7jsljat7.onion 


MITCXQIBAAKBgQCkSiMm7qgayy j JELUdW4gy+0WVLySC7QDh04mu4qnmRLKUdgY r9 
g20SLCbB+F4QROReLmsUICWUKHaZMw7AQQVyiD/YjDrtIpRdeZP5 rESWAoWBMt pN 
LexqTL55bgYCduS fw7/QNDIH3tAk7BZP9q9aNOaSKkUqs/V5Y+wpWCHyOwIDAQAB 
AoGAYbQRabLeALALSzJHpdzzVSGPI13ukE2mBaUuCPmhKLns5DpJLXE840Wokwyg 
7C38XiJe3e4sSwsxVPSvXhiNItbz2qyMTHNJEpkUDqedAph8i6xfRPOY+E3FcHgI 
EQf8jeg4tWJpUt8/iHdPBONC5BDArsIZvsN5+90FLxwRchkCQQDR9OPSUNqwc+50z 
I9WbqowDhhgS/rY1pJwW7i4TKbjTXgyVZkb9qbjqSuFXkcT+nT+0532qYqsw658bb 
mKu4n+kdAkEAyFFilgmez0b8FmIc2uG2CxARHA4bGDn5okWTQ0Q7mQ0020DZ1/5Z4n 
aWXt cuHnmoxw+C0iwXFs+gmBK+7qdKjBNwJAL7sk9XRObmZXLquf3TLJI f+eVQ406 
gj L3fNp8BtVFGBWNgS5cOOLOV/Sm0j fww6WsT j wSbMBQ+NdGYx fF zOhbILQIBALs2 
5GIvX4zc7Aj 3VURzZ4rFgKL1xqXzw4g/4unD5PdZBnV+ELX4qw2cz7cGKw+w7CXHI 
rUzhdxo0Q0/sVZWX20e0CQQCMTNBboDozTElrkK7YAZNge76kYsDR57akSmA2ig9Sw 
RI4PAQxKLDuW4GB150ENMWA9f3f3T2s7WviA0qYhwEot 


En el sitio podemos observar ciertos detalles, entre ellos las 
direcciones bitcoin y litecoin: 


BTC: 16P7LjXyijokEArDPERhG2k6d8EHBRqEhe 


LTC: LiLaF1ZRL3K26PNv1fJjwoNYsHyH2GPX2V 


Y un email de contacto: nes@mail2tor.com 
Primero veamos la actividad asociada a esa dirección bitcoin: 


https://ww.blockchain.com/es/btc/address/16P7LjXyijokEArDPERhG2k6d8E 
HBRgEhe 


BLOCKCHAIN.COM Products Data Explorador Q 


© BTC / Dirección 


Dirección 16P7LjXyijokEArDPERhG2k6d8EHBRqEhe Ml 
Formato BASES8 (P2PKH) 

Transacciones 4 

Total Recibidas 0.02990000 BTC 

Cantidad total enviada 0.02990000 BTC 

Saldo final 0.00000000 BTC 


Ha hecho 4 transacciones y ha movido aproximadamente 0,02 bitcoin, lo 
que hoy seria 185 dólares. 


https ://www.walletexplorer.com/wallet/83e150c52d70f41le? 
from_address=16P7LjXyijokEArDPERhG2k6d8EHBRqEhe 


: smart Bitcoin block explorer 


Wallet ul [8 3e150c5 2d] (show wallet addresses) 


Displaying wallet I| [83e150c52d], of which part is address 16P7LjXyijokEArDPERhG2k6d8EHBRqEhe. Show only address 16P7LjXyijokEArDPERhG2k6d8EHBRqEhe 


Page 1/1 (total transactions: 4) Download as CSV 
date received/sent transaction 


-0.0098 E [142fd422d30] 
(-0.0001) fee 


2015-01-04 18:41:43 5a57c6ea296b844b9216_ 


-0.01 BB [d0a5aad4de] 
(-0.0001) fee 


2014-11-10 10:16:44 788727bb8813d8f92f93. 


2014-10-23 08:27:23 W [fd14cc6219] +0.01 3c5c25e08e3d f96b8aa4_ 


2014-10-22 17:43:55 I [00b95e62c5] +0.01 gd4218f7439e33107613 


Page 1/1 (total transactions: 4) Download as CSV 


La última transacción fué el 4 de enero del 2015 y se ha hecho las 
siguientes transacciones en el transcurso de la vida de la dirección: 


Movimiento Monto Dirección Fecha 


Recibido 0,01 15LqZznGqVYQwWgtpAecPMNjKU4xQsxCS 2014-10-22 11:43 
uk 


Recibido 0,01 1Mmu6eP1JkXV8VaLabMqxYhd8LaiGiNg (2014-10-23 02:27 
AZ 


Enviado 0,01 1LG2NDxz9GfqZYipYbGM5ie3jzfGNuGh 2014-11-10 04:16 
YU 


Enviado 0,0098 | 1LBWrAaH7jwNFk2aTb8Zdbg86f2uQ2ns |2015-01-04 12:41 
uc 


Esta información puede ser clave si trabajas para alguna agencia 
gubernamental y puedes consultar a diversos wallets en línea, 
exchanges y mixers por más información. 


En Litecoin no hay nada :( 


ES BLOCKCYPHER 


a Litecoin Address 
LiLaF1 ZRL3K26PNv1fjwoNYsHyH2GPX2 


@ Subscribe 


No transactions detected 


Revisando el correo de contacto que deja 
nes@mail2tor.com, usando herramientas como 
https://haveibeenpwned.com/ para ver si ha sido 
expuesto en alguna filtración de datos no me ha dado 
resultados, igualmente se pueden usar otras 


herramientas o recursos como https://dehashed.com/, 


https://intelx.io/ para consultar esto, ya que si DON'T DETECT A DATA 
por casualidad encontramos un email, nombre de BREACH nc 


usuario, número de teléfono y encontramos que existe información 
sensible filtrada podemos hacer uso de ella, en lo personal me gusta 


checar https://raidforums.com/ para buscar bases de datos. 


También hice una búsqueda en google usando dorks, la cual fué 
infructosa: intext:”"nescemail2tor.com” : ( 


En fin, si eres parte de una agencia de gobierno según urlscan.io 


https://urlscan.io/result/ed870b65-d58e-49c4-aaa0-bd236154e562 


El servidor de mail2tor está ubicado en Noruega y hay posibilidades 
de que si escriben una nota legal pidiendo acceso a la data de el 
usuario, a lo mejor obtienen más información. 


Sigamos... 


Desde que comencé la labor ha pasado un buen tiempo, actualmente el 
sitio que hace correlación en la clearnet redirigue a google, por lo 
cual no aparecerá en las búsquedas del mismo ya, pero quiero que 
conste que usé la vieja confiable de intext:”3fym7qpu7jsljat7.onion” 
y rebusqué en los resultados, sin embargo tengo la suerte de tener al 
salvador bing que aún muestra el sitio entre sus resultados 


Simplemente escribí la url en bing.com y me apareció un par de 
coincidencias en particular 


1- https://www.bing.com/search?q=3fym7qpu7jsljat7.onion&qs=n&sp=- 
18pg=3fym7qpu7jsljat7.onionésc=0- 
22&s k=&cvid=91EF236D2BFD4DEQAAED85F 1EB12DCEE&first=7&FORM=PERE 


Dark Web Links For Hacking - Easy Onion | ... Traducir esta página 
https://easyonion.com/dark-web-links-for-hacking ~ 

3fym7qpu7jsijat7.onion — Hacking — HackerLabs: When | checked this dark web links then not able to see 
any useful information on website webpage. Tags: browser for dark web dark web documentary dark web 
forums dark web porn sites dark web walkthrough dark web working links darkweblinks deep web links 
facebook hack hack. 


226sk=68cvid=91EF236D2BFD4DEOAAED85F1EB12DCEE6f irst=176FORM=PERE]1) 


Trabaja en HackerLabs 

https://hackerlabs.es/trabajo.html ~ 

¿Estás especializado en algún campo de la tecnología y buscas trabajo? Buscamos especialistas con 
ganas de aprender y trabar en equipo. Completa nuestros desafios en la red Tor para unirte a nosotros 


Ambos están guardados en la caché de bing: 


1- https://cc.bingj.com/cache.aspx? 
q=3fym7qpu7jsljat7.onion&d=4792152857904213&mkt=es - XL&set Lang=es - 
ES&w=dAoWS8qN50-DOCM- Mx6MLoeTwAoSHKR 


2- https://cc.bingj .com/cache.aspx? 
q=3fym7qpu7jsljat7.onion+hackerLlabs&d=4773731737208201&mkt=es - 
XL&set Lang=es - ES&w=d6RXxotM9EJ61 zwvvSlea0byftCA Xr 


El primero hace alusión a “hackerlabs” texto que no aparece para nada 
en la versión guardada que tenemos del sitio en internet archive, 
seguido tenemos la aparición de un dominio “hackerlabs.es” que 
coincide con nuestro término de búsqueda. 


La verdad es que ya tenía guardada previamente una versión del sitio 
en archive.is que pueden encontrar aquí en 
http://archive.is/hackerlabs.es 


archive.today METE 


archivo de páginas web 


ejemplos de búsqueda: 

hackerlabs.es para todas las instantáneas del host 
* hackerlabs.es para la lista de subdominions 
http://hackerlabs es/ para la url exacta 
http://hackerlabs.es/* para el prefijo de url 


Captura más antigua Captura más nueva Lista de URLs, ordenadas de la más nueva a la más antigua 


ENCUEN Aviso Legal 


https://hackerlabs es/aviso_legal.html 


8 Jun 2019 01:53 


Contacta con Hackerlabs 


httos://hackerlabs .es/contact.html 


8 Jun 2019 01:51 
Hacker Labs - Servicios Informáticos 
https://hackeriabs es/ 
8 Jun 2019 01:50 
Trabaja en HackerLabs 
Eo q j 
8 Jun 2019 01:49 


Observa la página del sitio en la que ofrecen trabajo: 


http://archive.is/Eb7Bq 


Trabaja en HackerLabs 


¿Estás especializado en algún campo de la tecnología y buscas trabajo? 
Buscamos especialistas con ganas de aprender y trabar en equipo 
Completa nuestros desafios en la red Tor para unirte a nosotros 


http://3fym7qpu7jsljat7.onion 


Mira que bonito, nuestra url, aquí el administración de forma 


explícita acepta que el sitio es de su autoría, pero sigamos 
revisando el sitio... 


La página principal: http://archive.is/s931M 


SOLUCIONES INFORMATICAS 


PARA PARTICULARES Y EMPRESAS 


¿QUIENES SOMOS? 
HackerLabs 


Hacker Labs es una empresa de soluciones informáticas de Madrid 


f: P 


Con los mejores equipos y profesionales brindamos un servicio de soporte 


como a particulares, en cualquier campo de la tecnologia, con extraordinarios resultados en tiempo recor 


Hum... una empresa de profesionales en tecnología.. En Madrid... 


¿Están seguros tus dispositivos 
móviles? 
Así de fácil es hackear un teléfono 


Aptos Muñoz 
Hacker 


RS 
, 


w. 


nformático tanto a em 


presas 


Mira que guay, hay un vídeo de la sexta en el cual explican lo fácil 
que es hackear un teléfono (Si consideran hackear instalarle un Rat a 
un teléfono teniendo acceso físico) 


Link de la entrevista: https://ww.lasexta.com/programas/equipo- 
investigacion/noticias/codificar-mensajes-whatsapp-protege- 
comunicaciones -hacker-muestra-vulnerabilidades - 

sistema 201612165854610d0cf20341e405f25a. html 


El cuál según el pie de página se grabó en Madrid y está fechado el 
12/11/2017, la entrevista la realiza Gloria Serra 


(https://es.wikipedia.org/wiki/Gl%C3%B2ria Serra) 


Si reproducimos el vídeo detenidamente podemos ver las fachadas de 
los negocios de los edificios al frente, luego podemos hacer una 
búsqueda en google map(0 si conoces Madrid podrás saber dónde es en 
base a esto) descubrimos que El video fue grabado en Calle de 
Cedaceros con Carrera de S. Jerónimo, Madrid, España en el Edificio 
Número 34. 


Además la hora en el movil marca las 13:17, 13:52 del sábado 8 de 
Noviembre del 2014. 


Imgur 


Algo más? 


Acaso no hay algo que estos chicos no puedan hacer? Entre ello 
Hosting en la red Tor, algo inusual para una pequeña “empresa” en la 
clearnet. 


¿QUÉ OFRECEMOS? 


- Soporte técnico remoto y presencial - Configuración de redes 
- Creación de nubes para empresas - Eliminación de virus y programas espía 
- Recuperación de archivos borrados - Copias de seguridad en nuestros servidores 
- Optimización de sistemas operativos - Análisis de vulnerabilidades (pcs y webs) 
- Restauración de sistemas y formateos - Hosting en la red Tor 


completos - Sistemas de cifrado de datos 
- Adaptaciones de páginas web a móviles - Recuperación de contraseñas 
- Diseño de páginas web - Monitorizacion de equipos 
- Hosting (con ssh y ftp) - Análisis y captura del tráfico de red 
- Instalación de drivers y periféricos - Anonimato en Internet 
- Creación de programas a medida - Prevención y reparación de ataques DDoS 
- Community management 


¿No encuentras algo? 


SOPORTE TECNICO PARA EMPRESAS 


Tenemos dos secciones interesantes que analizaremos más adelante, las 
cuales son contacto y el aviso legal. 


Contacto: http://archive.is/PmFEH 
Aviso legal: http://archive.is/f2E4K 


Contacto 


Néstor Muñoz - 655266553 Ciframos todos nuestros mensajes con SSL, pero puedes añadir una 


nestor mb@hackerlabs es capa más de seguridad codificando tu mensaje con nuestra clave 
j ` pública de PGP 


Email * 


Ouch, ya tenemos tanta información. 


Email: nestor.mb@hackerlabs.es (Busqué y no encontré ninguna 
correlación en otra parte) 


Teléfono: 655 26 65 53 (Sin correlaciones) 
Clave PGP (Sin correlaciones) 


Nombre del titular: Nestor Muñóz Berzal. 


El nick Nes en el foro Cebolla Chan y en Nes 
Web es tan sólo un juego de letras para el 
nombre real Nestor, al parecer al inicio del 
foro este individuo no se preocupó mucho por 
cuidar su OpSec, a pesar de que sabía muchas § 
cosas sobre tecnología, a partir de aquí 
trataremos de conseguir más información de 
él y sus actividades. 


Sigamos revisando en el sitio, o mejor dicho en la caché de bing.. 


En el sitio se ve que ofrecían un curso de hacking presencial, 
veamos: 


https: //cc.bingj.com/cache.aspx? 
q=hackerLabs.es&d=4606726233919028&mkt=es - XL&set Lang=es - 


ES&w= q0M7qJzHfcu5ZQUmbvO0oRE8VPyggZfU 


Duración: 40 horas 

Periodo: Febrero, Marzo y Abril de 2017 
Horario: Martes y Jueves 17h-21h 
Coste: 450€ 


C\ Santa Virgilia n°19 Madrid (barrio Hortaleza) 


Bonita dirección hermano, un poco caro para mi gusto, vamos a ubicar 
esto en un mapa: 


LS-uTipinar, “AM NRA 


C/ de Sta. Virgilia, 19 
C/ de Sta. Virgilia, 19, 28033 Madrid 


Ampliar el mapa 


paa 


J 0 


virgilia 


TON, 
Callede Sant 


-s --. 

SN — 
nesidencialiLos @ ` 
Eganen aeia 2 
Nogales Hortaleza 9 

s bte Residencia Man 


al ica 
Damms ta de la Google 
wr 


“Wo; Datos del mapa ©2020 Inst. Geogr. Nacional Condiciones del Servicio 


Excelente, ahora en Street view: 


https ://www.google.com/maps/@40. 4258806, - 


3.705026, 3a, 75y,224.09h, 88. 93t/data=!3m6! 1e1!3m4! 
Isi HtXJOs7COJRT Hul-K8A!2e0! 7116384! 818192 


41 Calle de San Vicente Ferrer 


Musgo de Historia 
de Madrid 


oir Princesa 


rabos $ Mercado de® 
La 5 San Ildefonso 


Ficciones? Un club dvd? No veo ningún letrero de hackerlabs por aqui, 
vamos a indagar... 


b hackerlabs.es f Q 
TODOS IMAGENES VIDEOS NOTICIAS 
28 Resultados Fecha v Idioma v Región v 


Última hora: la estrategia - de un rico para ganar dinero 
https://mygreenmorning.com/grandes/beneficios + 

Anuncio Los salvadoreños: ¡Ganen más dinero con estos consejos de expertos! Fácil de empezar. ¡Pruébalo 
hoy mismo! 


Ficciones De Cine: Inicio 

80.28.251.135/Ficcionesdecine.com/test/logos/paginas + 

MUCHAS GRACIAS a TODOS por vuestra ayuda para que siga siendo realidad este proyecto de cultura 
alternativa que es el videoclub Ficciones. Intentaremos seguir luchando a contracorriente de la 
mercantilización de la cultura y de las modas pasajeras, y mantener para todos esta alternativa que nos 
permita entretenernos y a la vez disfrutar de un cine variado, diferente y de calidad. 


Seguimos con la coincidencia... 


tf Me gusta 


Inicio Nosotros E crear Cuenta @ Donde Estamos Entrevistas Ficcionadas 


z z E z : Ficciones de Cine 
[+ ] Buscador Bienvenido / ficciones de cine Me gusta 


A i mur END 


Búsqueda Avanzada MUCHAS GRACIAS a TODOS por vuestra ayuda para que E Me gusta esta página 


@ Compartir 


siga siendo realidad este proyecto de cultura alternativa AN 

[+] Directores que es el videoclub Ficciones. Intentaremos seguir 
luchando a contracorriente de la mercantilización de la 5 

- Clasicos cultura y de las modas pasajeras, y mantener para todos ny el ape de tus amigos en indicar que 
esta alternativa que nos permita entretenernos y a la vez le gusta esto, 

- De Comedia disfrutar de un cine variado, diferente y de calidad. 


- De Terror Para los despista2 y los que nos olvidamos de las cosas, 

queremos recordaros que nuestro nuevo local en Tirso se 

encuentra en calle Juanelo 15 (antiguamente, Relatores y 

Dr. Cortezo). Es un local muy bonito e incluso algo mayor 

que el an si no lo conocierais hasta ahora, pasaos, 
volveros a ver a todos. 


- Alemanes 
- Americanos 


- Asiáticos 


como a ti, nos gusta el cine de autor, el cine 
en general, el cine de calidad. Nos gusta el cine 
ertirse y pasar un buen rato, y que, además, nos 
, Nos culturiza, y se queda en nuestro recuerdo 
Nuestra manera de ver el mundo. Por ello, te 
nografias completas de los mejores directores del 
as de arte contenidas en DVD, a menudo, dificiles 
Alos circuitos comerciales habituales. 


- Británicos 


- Escandinavos 


- Españoles 


- Franceses 


Video no disponible 
No se pudo reproducir este 
video 


- Italianos 


e Ficciones con vosotros es tratar de ofreceros 
res “bibliotecas” de peliculas de Europa, porque 
porque vosotros, que tanto cariño nos 
o, os lo merecéis, y porque a nosotros, ya lo 


- Del Mundo 


- Latinoamericanos 


http://80.28.251.135/Ficcionesdecine. com/test/logos/paginas/index2.ph 
p 


Ahora vamos a ver la pagina de facebook: 


https://www. facebook. com/FiccionesMalasana/ 


yb Me gusta Ñ Seguir 


INOLVIDABLE 
AÑOS!!! 

WETS Ki 

Y, W 


> EL RASTRILLO DEG 


Ficciones de Cine 


@FiccionesMalasana 
Inicio 

Información 

Fotos 

Videos 

Promociones 

Notas 

Publicaciones 


Comunidad 


Crear una página 


{ MES wns 
cists, | 
TACHI’, 


Llamar @ Enviar mensaje 


Wr ar anne oe en cree re vee 


Informacion Ver todo 


> Juanelo, 15 
28004 Madrid 


Como llegar 
K, +34 695 92 80 55 


(+) Enviar mensaje 

@ ficcionesdecine.hackerlabs.es 

C3 Tienda de música y películas - Cine 
5) Precios $ 


©) Abre alas 15:00 
Cerrado ahora 


4 Sugerir cambios 


O Transparencia de la página Ver más 


Facebook muestra información para que entiendas 
mejor la finalidad de una página. Consulta qué 


acciones realizaron las personas que la administran y 


publican contenido 


A TT afaina A A ee NA 


Mirad en el apartado sitio web, es un subdominio de hackerlabs.es: 


http://ficcionesdecine.hackerlabs.es/ 


Not Found 


The requested URL was not found on this server. 


Que no dirige a nada, sin embargo seguimos encontrando coincidencias 


en la web: 


Detalles de contacto 


Categoría: Alquiler de pelicula 


Número de +34 913 69 33 1 
teléfono: 


Comunidad Madrid 
autónoma: 


Ciudad: Madrid 


Editar informacion 


¿Eres el dueño o representante de Ficciones De 
Cine? 


Si la información sobre la empresa es incorrecta, 
puede editarla. 


=>> Editar 


Dirección: Calle Juanelo, 15, 28012 Madrid, 
Spain, Madrid, Madrid, 28012 


Código 28012 
postal: 


URL: http://ficcionesdecine.hackerlabs.es/ 


https://madrid-madrid.empresas-espana.es/alquiler-de- 
pelicula/ficciones-de-cine-madrid/ 


En google también hay 
muchas referencias a la 
web, pero no pude recuperar 
ninguna captura del 
subdominio, mi hipótesis es 
que Nestor ofreció sus 
servicios de informático al 
diseñar la web y a la 
empresa de renta de dvds le 
pareció, pero el sitio se 
alojó temporalmente 
apuntando a su dominio 
principal. 


m.yelp.ca » Shopping > Books, Mags, Music & Video >» Music & DVDs 
Ficciones de Cine - Music & DVDs - Calle de Juanelo ... - Yelp 


Ficciones de Cine in Madrid, reviews by real people. Yelp is a fun and easy way to find, .. 
Call Now - Visit Website. http://ficcionesdecine hackerlabs.es ... 


www.yelp.com > ... > Books, Mags, Music & Video > Music & DVDs 

Ficciones de Cine - Music & DVDs - Calle de Juanelo, 15 __. 
Ficciones de Cine in Madrid, reviews by real people. Yelp is a fun and easy way to find, ... 
Call Now - Visit Website. http-//ficcionesdecine. hackerlabs.es ... 


www.findglocal.com > España » Madrid > Empresas v 

Ficciones de Cine - Find Local Businesses 

... la piratería http://play .cadenaser.com/audio/001 RDO10000005709014 7autoplay=true ... 
Renovamos el stock de camisetas en @ficcionesdecine !!! Ve por la . 


www .cineplo.com >» España > Madrid + 

Ficciones de Cine - Juanelo, 15, Juanelo, n° 15 ... - Cineplo 

http-//play .cadenaser.comvaudio/001RD0100000057090147autoplay=true. Hablamos con 
Marcia Seburo ... Renovamos el stock de camisetas en @ficcionesdecine !!! Ve por la tuya 
y de paso te ... Página web. ficcionesdecine.hackerlabs.es ... 


www. .cineplo.com > España > Madrid + 

Ficciones de Cine, Juanelo, 15, Madrid (2020) - Cineplo 

... videoclub que resiste a la piratería http-//play.cadenaser.convaudio/ 
001RD0100000057090147?autoplay=true. #HorarioDeVerano en Ficciones de Cine - 
Juanelo, 15 ¡Y no olvidéis seguirnos en ... Página web. ficcionesdecine.hackerlabs.es ... 


madrid.empresasespanolas net > Madrid > Madrid v 

FICCIONES DE CINE - Alquiler de peliculas - Calle de __. 

información completa sobre FICCIONES DE CINE em Madrid: Calle de Juanelo, 15, 28012 
Madrid, España. Opiniones ... http://ficcionesdecine hackerlabs.es/. 


Para empezar quiero decir que por todos los medios posibles traté de 
buscar algún nexo con el número en el sitio y no encontré nada, ni en 
whatsapp, instagram, facebook, twitter, etc. 


Lo único que se sabe es la compañía a la que está/estaba registrado 
el número (655 266 553), Orange. 


https://ardilla.ai/ 


@ Ardilla.ai Consultar número Lista Robinson Ardilla Pro ACCESO ARDILLAF 


Información actualizada diariamente. 


Número: 

655266553 

Tipo de número: 

Móvil 

Operador actual: 

ORANGE 

Última portabilidad: 

No se ha portado nunca 
¿Cambiará de Operador? 
NO (con un 84.41% de seguridad) 


Para no recibir llamadas comerciales apuntate a la Lista Robinson 


Q Otra consulta 


Como no dió resultados el análisis del número de teléfono vamos a 
revisar la información de whois que podemos consultar de forma 


gratuita y abierta en https://ww.dominios.es/dominios/ 


Información de Dominio 


[+-] Volver 


Los datos de contacto de este dominio están ocultos. Si desea comunicarse con el Titular y el PCA pulse aquí 


DATOS DEL TITULAR 


Nombre del Dominio hackerlabs.es 

Estado Activado 

Identificador C3E30C-ESNIC-F5 

Titular Nestor Munoz 

Fecha de Alta 04-10-2015 

Fecha de Caducidad 04-10-2019 

Agente Registrador ASCIO TECHNOLOGIES INC 


PERSONA DE CONTACTO ADMINISTRATIVO 


Identificador C3E30C-ESNIC-FS 
Nombre Nestor Munoz 


PERSONA DE CONTACTO TECNICO 


Identificador B74B7F-ESNIC-F5 


SERVIDORES DNS 


Nombre Servidor IP 
ns01.one.com 
ns02.one.com 


Bueno, podemos notar que el sitio está registrado desde el cuatro de 
octubre del 2019 y que su registrador es Nestor Muñoz y el servidor 
dns está bajo la tutela de one.com que es una empresa localizada en 
Copenague. Dinamarca, veamos la data disponible en 


https://urlscan.io/: 
https://urlscan.io/result/737aa423 -3997-4954-b01d- fa6adlbflebb/ 


hackerlabs.es 


URL: https: //hackerlabs.es/ 
Submission: On June 15 via manual (June 15th 2019, 5:31:00 am) from CL fy 


Summary HTTP 26 Links 5 Ml Behaviour loCs $ Similar 56 EDOM ® Content RAPI 


Summary Screenshot 
transactions. ‘ 


The main IP is 2a02:2350:5:106:ebc0:0:f19e:8fb3, located in Copenhagen, Denmark and n A 
SOLUCIONES INFORMATICAS 

belongs to ONECOM, DK. The main domain is hackerlabs.es. PARA PARTICULARES Y EMPRESAS 

TLS certificate: Issued by Let's Encrypt Authority X3 on May 6th 2019. Valid for: 3 months. 


This website contacted 7 IPs in 5 countries across 8 domains to perform 26 HTTP 


The main domain was scanned 3 times on urlscan.io 
56 structurally similar pages on different IPs, domains and ASNs found 
Verdict: 


Google Safe Browsing: © Clean 


f Detected technologies 


Additional live information 


*° Varnish œ Website 
Current DNS A record: 46.30.215.191 

@ Apache œ Website 

E] Facebook A Website 


Bueno, ya saben a quien llamar pidiendo datos del usuario... 


O one.com | Buscar dominio aquí END Productos Asistencia Panel De Control Webmail 


Solamente $ 2.49 /mes* 
en alojamiento de sitios web y 
correo electrónico 


e 50 GB almacenamiento 
e 100 cuentas de correo 
e Website Builder 


e Sin cargos ocultos 


Añadir al carrito 


Usé cierta herramienta llamada sub.sh que sirve para buscar 


subdominios en el dominio y ver si encontramos más información: 
https: //github.com/cihanmehmet/sub.sh 


Fácil descargamos la herramienta y lanzamos el script: sh sub.sh hackerlabs.es 


user@host: ~/sub.sh 


ba 


Archivo Editar Pestañas Ayuda 


[+] Dns. bufferover. 
[+] Threatcrowd.org | 


in 2 => hackerla 


acKker 


EJ) aaa 


> hackerla 


Tenemos dos subdominios vivos: 
ficcionesdecine.hackerlabs.es 
wadiehackerlabs.es 


Sin embargo en ninguno de ellos hay algo de interés, sigamos. 


Vamos a google a buscar más información sobre Nestor, probemos suerte escribiendo 
Muñoz Berzal Nestor, estos resultados llaman mi atención: 


www.patentes-y-marcas.com » marca > pinganillo-nes-m3551605 v 


sobre marcas, patentes y disefios. Esta marca ha sido solicitada por NESTOR MUNOZ 
BERZAL a través del representante ALVARO HERRERA DAVILA. 


https://www. patentes-y-marcas.com/marca/pinganillo-nes -m3551605 


www.madrid.org > Satellite > pdf w PDF 


N° Resolución: 5268 ORDEN DE LA CONSEJERA DE ... 


17 nov 2017 - MUÑOZ BERZAL NESTOR. 15. 05-APC1-05723.3/2017. 05451001R. REYES 
LAYZA NANCY GRACIELA. 15. 05-APC1-02947.5/2017. 


http: //ww.madrid.org/cs/Satellite?blobcol=urldatasblobheader=application 
%2Fpdf&blobheadername1=Content -Disposition&blobheadervaluel=filename 
%3DOrden+de+Resoluci%C3%B3n+inadmisi%C3%B3n+2017+- 
+5268.pdfáblobkey=idsblobtable=MungoBlobsáblobwhere=13529429033886ssbinary=true 


Mira que interesante, primero tenemos una patente a su nombre, veamos: 


Bg PINGANILLO NES - Informa x 
€ > Œ â patentes-y-marcas.com/marca/pinganillo-nes-m3551605 wr Q Incógnito 


PINGANILLO NES - Información sobre la marca 


Marca PINGANILLO NES en España PREGUNTA Y RECIBE 
TU RESPUESTA 


Esta marca ha sido solicitada por NESTOR MUÑOZ BERZAL a través del 
representante ÁLVARO HERRERA DÁVILA 


Visto 138 veces 


a a in | Fecha de solicitud: 06/03/2015 


Esta información es pública to que ha sido obtenida del BOPI (Boletín Oficial de la Propiedad Industrial). 
Según el articulo 13 de la ley de propiedad intelectua L no son objeto de derechos de propiedad intelectual los 
actos y resoluciones de los organismos públicos. 


Asimismo, la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público estatal, 
por personas fisicas o jurídicas, con fines comerciales o mo comerciales, permite la reutilización de la información 
y documentos de las Administraciones y organismos del sector público. 


De acuerdo al Reglamento (UE) General de Protección de Datos (RGPD), y a nuestra politica de privacidad, el 
tratamiento de datos personales de los titulares de marcas, diseños y patentes publicados en esta página web, 
tiene su base de legitimación en el interés legítimo del Res; ble ‘Art. 6 f) RGPD), para más información y 
para dg ejercicio derechos de acceso, supresión, rectificación y oposición, consulte nuestra politica de 
privacida: 


País: España 


Fecha de solicitud: 06/03/2015 ¿Eres el propietario de este registro? ¿Quieres saber más sobre esta marca o 
Accede a servicios gratuitos sobre su propietario? Consúltanos 


Vero ) @ QUIERO REGISTRAR 


Los productos y servicios protegidos por esta marca son: 

09 - APARATOS E INSTRUMENTOS CIENTIFICOS, NAUTICOS, GEODESICOS, FOTOGRAFICOS, 
CINEMATOGRAFICOS, OPTICOS, DE PASAJE, DE MEDICION, DE SEÑALIZACION, DE CONTROL 
(INSPECCION), DE SALVAMENTO Y ENSEÑANZA, APARATOS E NSTRUMENTOS DE 
CONDUCCION, DISTRIBUCION, TRANSFORMACION, ACUMULACION, REGULACION O 
CONTROL DE LA ELECTRICIDAD, APARATOS DE GRABACION, TRANSMISION O 
REPRODUCCION DE SONIDO O IMAGENES; SOPORTES DE REGISTROS MAGNETICOS, DISCOS 
ACUSTICOS, DISCOS COMPACTOS, DVD Y OTROS SOPORTES DE GRABACION DIGITALES; 
MECANISMOS PARA APARATOS DE PREVIO PAGO, CAJAS REGISTRADORAS, MAQUINAS DE 
CALCULAR, EQUIPOS DE PROCESAMIENTO DE DATOS, ORDENADORES, SOFTWARE, 
EXTINTORES. 

- Clases limitadas y modificadas: 

09 - APARATOS PARA EL REGISTRO, TRANSMISION O REPRODUCCION DEL SONIDO. 


En fecha 10/03/2015 se realizó COMUNICACION A TITULARES DERECHOS ANTERIORES 
(ART.18,4LM): M2579589 

En fecha 16/03/2015 se realizó PUBLICACION DE SOLICITUD 

En fecha 08/04/2015 se realizó OPOSICION DE LA MARCA 2579589 CLASES OPONENTES: 09 
En fecha 08/04/2015 se realizó OPOSICION DE LA MARCA 2754708 CLASES OPONENTES: 38 
En fecha 08/04/2015 se realizó OPOSICION DE LA MARCA 2789206 CLASES OPONENTES: 35 
En fecha 08/04/2015 se realizó OPOSICION DE LA MARCA 2976930 CLASES OPONENTES: 09 
En fecha 07/07/2015 se realizó PUBL.SUSPENSO FONDO DE F.RESOL 01/07/2015CAUSAS DEL 
SUSPENSO DE FONDO: 346 

En fecha 27/07/2015 se realizó PERSONACION AGENTE 

En fecha 29/07/2015 se realizó CONTESTACION AL SUSPENSO PUBLICADO EL: 07/07/2015 
En fecha 25/09/2015 se realizó PUBLIC. DENEGACION DE F.RESOL: 21/09/2015 


El 6 de marzo de 2015 Nestor Muñoz Berzal solicitó el registro de una marca 
“Pinganillo NES”, pero a todo esto ¿Qué es un Pinganillo? 


Según blogscvc.cervantes.es es un aparato intercomunicador compuesto 
de un pequeño auricular que se coloca dentro de la oreja y un 
receptor con cable o inalámbrico, que se emplea como sistema de 
comunicación por periodistas, deportistas y otros profesionales, ya 
que por su escaso tamaño es discreto y no dificulta la movilidad. 


A Nestor le gusta dejar Nes en todos lados como firma personal al 
parecer, todo muy bien pero no parece haber ninguna otra referencia a 
la marca en la web, al parecer no tuvo tanto éxito nuestro amigo 
emprendedor, sigamos con nuestra búsqueda. 


Este es un documento oficial del gobierno de Madrid, aquí hay 
información importante: 


http://www.madrid.org/cs/Satellite? 
blobcol=urldata&blobheader=application*2Fpdf&blobheadernamel=Content - 
Disposition&blobheadervaluel=filename*3D0rden+de+Resoluci 
%C3%B3n+inadmisi%C3%B3n+2017+- 

+5268. pdf&b Lobkey=id&b Lobtab Le=MungoBlobs&b Lobwhere=1352942903388&ssb 
inary=true 


[os-aPc1 -03491.7/2017 [05450244A [Muñoz BERZAL NESTOR | 15 


Tener tu DNI expuesto en internet no parece muy privado, 


Podemos hacer algunas cosas en internet con su número, busquemos que 
hayamos de bueno en google con: 05450244A 


Al parecer le denegaron unas solicitudes de trabajo (04/06/2010): 
http://www.madrid.org/cs/Satellite? 


blobcol=urldata&blobheader=application 
%*2Fodf&blobkey=id&b Lobtab Le=MungoBlobs&b Lobwhere=1271611120380&ssbina 


ry=true 


X Hospital Universitario Area de Planificación y Desarrollo 
de Fuenlabrada Dirección de Recursos Humanos 
SaludMadrid E vomuncae os maana 04/06/2010 
LISTADO PROVISIONAL DE ASPIRANTES ADMITIDOS, NO ADMITIDOS Y EXCLUIDOS A LA BOLSA DE TRABAJO DE 
CONTRATACIÓN TEMPORAL. 


PUESTOS DE TRABAJO: TELEFONISTA-RECEPCIONISTA 
PLAZO DE RECLAMACIONES DESDE EL 5 AL 14 DE JUNIO DE 2010 (AMBOS INCLUSIVE), de 9 a 14 horas 
Las reclamaciones deberán dirigirse a: Dirección Gerencia del Hospital Universitario de Fuenlabrada, Camino del Molino 2,28942 Fuenlabrada 


Falta certificado vida laboral. 


iia a a ani | 0,5 li Admitido ina certificado servicios prestados. 


MáS... 
K Hospital Universitario Area de Planificación y Desarrollo 
de Fuenlabrada Dirección de Recursos Humanos 
SaludMaadrid [E vomunicas oe maana 04/06/2010 
LISTADO PROVISIONAL DE ASPIRANTES ADMITIDOS, NO ADMITIDOS Y EXCLUIDOS A LA BOLSA DE TRABAJO DE 
CONTRATACIÓN TEMPORAL. 


PUESTO DE TRABAJO: AUXILIAR ADMINISTRATIVO 


PLAZO DE RECLAMACIONES DESDE EL 5 AL 14 DE JUNIO DE 2010 (AMBOS INCLUSIVE), de 9 a 14 horas 


Las reclamaciones deberán dirigirse a: Dirección Gerencia del Hospital Universitario de Fuenlabrada, Camino del Molino 2,28942 Fuenlabrada 


Y más adelante podemos observar unos documentos de la universidad 
complutense de Madrid, del grado de ingeniería en 
comunicaciones (10/2018) : 


https://fisicas.ucm.es/data/cont/docs/18-2018-10-10-Lista Asignaci 


%C3%B3n_TFG_IEC_ 2018. pdf 


https://fisicas.ucm.es/data/cont/docs/18-2018- 
10-03-ListaprelacionTFG gradoIEC 2018-19.pdf © 53567098Y 
e 05450244A 


Alumnos excluidos 


Ahora vamos a ver en facebook: 


Todo Publicaciones Personas Fotos Videos Marketplace Páginas 


Filtrar resultados 


Néstor Gauss £' Agregar 
Amigos de amigos Trabaja en Hacker Labs 
Amigos de amigos 
Ciudad 


e Cualquier ubicación 
Cochabamba 
+ Elige una ciudad... 


Formación 
e Cualquier escuela 


+ Elige una escuela... 


Empleo 
e Cualquier empresa 


+) Elige una empresa... 


Simplemente podemos ir insertando los datos que ya tenemos, en mi 
caso ya me aparece gracias al algoritmo de facebook (Gracias 
Suckenberg), tenemos detalles como que ha vivido o vive en Madrid, 
que ha estudiado en la Universidad Complutense de Madrid, apellidos, 
en mi caso tuve que ir probando con varias combinaciones hasta dar 
con él, por aguna razón al igual que muchas otras personas aquí usa 
un apellido diferente. 


https://www. facebook. com/nehstor 


Néstor Gauss 


Biografia Informacion Amigos Fotos Más v 


Tenemos esta completa presentación: Foto de Nestor: 


© Detalles 


() Trabaja en Hacker Labs 


$3 Estudió Ingeniería Electrónica de 
Telecomunicaciones en Universidad 
Complutense de Madrid 


$3 Estudió en Conservatorio Profesional de 
Música Teresa Berganza 


$3 Estudió en San Isidro 
© Estudió en San Viator 
(1) Vive en Madrid 


De Madrid 


En su perfil encontré varios datos datos privados que me parecieron 
muy poco relevantes, pero entre algunas cosas que puedo destacar es 
que su lista de amigos está oculta, además que su última actividad 
pública fué el 30 de diciembre de 2017 en su perfil de facebook: 


Néstor Gauss actualizó su foto de portada. eee 
30 de diciembre de 2017 -@ 


Además de unas publicaciones sobre su entrevista para la sexta y su 
curso de hacking de hackerlabs.es 


Néstor Gauss i 
17 de diciembre de 2016 - @ 


LASEXTA.COM 


¿Codificar los mensajes de WhatsApp protege las 
comunicaciones? Un hacker muestra las vulnerabilidades del... 


© 10 1 comentario 4 veces compartido 


D Me gusta QJ Comentar Pa Compartir 


$ Juan Almenara jajaja puto nestor que jefe! 
Me gusta - Responder - 3 años 


ry Escribe un comentario OO & 7 


Dà Néstor Gauss ose 
1 de mayo de 2016 - Madrid, Comunidad de Madrid, España - @ 


https ://hackerlabs .es/CursoDeHacking.html 


Tenemos la página de facebook de hackerlabs, cuyas primeras y últimas 
actividades fueron el 8 de abril de 2018 


th Me gusta Ñ Seguir Compartir | +... Más información O Enviar mensaje 


Información Ver todo 
Publicaciones 


Hacker Labs 
8 de abril de 2018 - Y 


@) Enviar mensaje 


hackerlabs.es 


li 0 


Negocio local 


@ Sugerir cambios 


Hacker Labs ‘ es i 
Dhckrit Transparencia de la pagina Ver mas 
@WNCKTIDS 
Facebook muestra información para que entiendas 
tos mejor la finalidad de una página. Consulta qué 
Inicio 


acciones realizaron las personas que la administran y 


A 
J MD Hacker Labs x 


Publicaciones 


Fotos = 
A 17 personas les gusta esto 
Información Pi 3 
Comunidad 
Hacker Labs agregó un botón para E { o: 
ayudarte a obtener más información... is 
4 
nÒ Me gusta Q Comentar @ Compartir wa” ( Quiero chatear con alguien ) 
A reais 


Í Tanna una nrecunta ) 


Claro que se pueden conseguir mas datos sobre sus amigos y familia en 
facebook, pero dejaremos esto hasta alli, buscando en linkedin 
encontramos su perfil: https://es.linkedin.com/in/nesmunoz 


Linked Gente w Néstor Muñoz Q 


Néstor Muñoz Autónomo 
Máster en Universidad Complutense de Madrid 


® Universidad Complutense 


Madrid, Madrid, España - 78 contactos de Madrid 


Únete para conectar 


Acerca de 


Fotografía. Viajar. Vivir. Actualmente construyendo mi propio blog de viajes. 


Acerca de 


Fotografía. Viajar. Vivir. Actualmente construyendo mi propio blog de viajes. 


Experiencia 


Autónomo 
2013 - Actualidad - 7 años 


ES Fotógrafo autónomo 


Guadalajara y alrededores, España 


Realizo diversos trabajos de reportaje gráfico para uso doméstico (familias, niños, 
pre-boda...) así como para personas que comienzan en el mundo de la moda y 
necesitan un book. 


Fotógrafo 
Guadaqué 
sept. de 2015 - sept. de 2018 - 3 años 1 mes 


Guadalajara y alrededores, España 


Fotógrafo para el periódico Guadaqué que cubre la provincia de Guadalajara. 


Barman 
Cubana Waterloo Ltd 
jun. de 2017 - sept. de 2017 - 4 meses 


London, Reino Unido 


Educación 


Universidad Complutense de Madrid 
cote Máster - Análisis Sociocultural 
2018 - 2019 


Análisis Sociocultural del Conocimiento y de la Comunicación 


Universidad Complutense de Madrid 
cia Comunicación Audiovisual - Comunicación audiovisual 


2014 - 2018 


Experiencia de voluntariado 


Director 
Corto documental con Acción Social por la Música 


abr. de 2018 - jun. de 2018 - 3 meses 
Infancia 


Lo que empezó como un pequeño proyecto acabó convirtiéndose en un corto 
documental para una asociación tan maravillosa como Acción Social por la Música. 
Gracias a nuestro corto pudimos conseguir una donación de 20.000 euros para la 
asociación. 


Licencias y certificaciones 


B Digital Photography 


Alison - Free Online Learning 
ID de la credencial: 591-8581164 


Ver credencial Z 


Nivel B2 en inglés 
Centro Superior de Idiomas Modernos, UCM 


Idiomas 


Español 
Competencia bilingüe o nativa 


Inglés 
Competencia básica profesional 


En resumen estamos ante alguien con conocimientos de seguridad 
informática, anonimato en la red, administración de servidores y 
experiencia en comunicaciones. 

Ahora tenemos un plus de información sobre nuestro objetivo: 


(https://www.inglobaly.com/) 


Se realiza búsqueda en base de datos de empresa por nombre y apellidos y por DNI sin 


resultado positivo. 


Se encuentra domicilio paterno, donde habitaba con madre y hermana: 


NESTOR MUÑOZ BERZAL © 


© pack 1 B 


Personal data 


Search back in... + 


Name N.LF. City Province Date of birth 

NESTOR MUÑOZ BERZAL 05450244A MADRID MADRID 20/06/1991 
Number of times searched:1 (see detail) 

Current address 

Address Zip code/City Province 

CALLE JOSE DEL RIO, 29 BAJO 28019 - MADRID MADRID G-A] 


4) Floor & 


Previous address 


Zip code/City 


Province 


Results of the Research 


address O CALLE JOSE DEL RIO 29, piso BAJO (28019) | 


Year of birth: > 


Surname, Name © 


© BERZAL BARROSO, MARIA LUISA 1965 

© MUÑOZ BERZAL, NESTOR 1991 

(0 MUÑOZ BERZAL. BARBARA 1994 
Found 1 records 


Se localiza una multa de tráfico de 2013 en el siguiente documento 


https://s3-eu-west- 


1.amazonaws.com/testra. 


inas/83be2f1cc2d9bd4542fca4bb8dea6ces ?Signature=70%2B6Y 


nHwEzZAaDS%2By%2BgRuqwG 1lic%3D&AWSAccessKeyld=AKIAJTAUZGNN2JY66H2Q&Expires= 


1584960904 


280138641470 MUÑOZ BERZAL, NESTOR 064502444 MADRID 


El vehiculo sancionado es un Ford fiesta 1.1 del afio 1994 


01092013 


MT037PU 


Finalizo la primera parte de mi post con estas ideas importantes: 


* Que gracias a los headers pudimos identificar que las huellas 
dígitales de los sitios lulzwrzcle5ks3se.onion, 
bcloud2suoza3ybr.onion, society44nlbxqdz.onion y 
kowloon5aibdbege.onion son idénticas, además que el resultado de mi 
experimento de denegación de servicio hacia un sólo dominio (el del 
cebolla chan) tiró todos los sitios mencionados al principio 
significa que todos están alojados en el mismo servidor que vendría a 
ser el hosting de Kowloon Hosting Services, el cual no actualiza su 
home page desde 2018, mismo año en que cebolla chan volvió a estar en 
línea. 


* Dado el caso que el moderador nestor dejó abandonada su cuenta de 
forma prematura, siendo el usuario #5 creado (El #4 no existe, lo que 
significa que fué borrado) puede significar varias cosas: 


- El usuario abandonó el proyecto. 


- La cuenta de usuario es tan sólo una cuenta alternativa del 
administrador para simular actividad. 


El usuario nestor ha demostrado tener amplio conocimiento en la 
materia, al igual que Sysop, al recomendar hacer uso de sitios sin 
javascript, creando sitios como blackcloud o society, recomendando el 
uso de cifrado y whonix, podría arriesgarme a decir que ambos son la 
misma entidad o están muy relacionados. 


* Que utilizando recursos disponibles libremente en internet se trazó 
una correlación de su identidad en la red tor, hasta su identidad en 
el mundo real de la siguiente forma: 


Perfil Nestor > Nes Web > hackerlabs.es > Nombre real “Nestor” > Uso de nick Nes en patente. 


* Que es curioso el hecho que estuviera activo en retormar hackerlabs 
en abril de 2018 al mismo tiempo que el foro cebolla chan se volvía a 
poner en marcha. 


* Que partiendo desde tan sólo una correlación pudimos dar con mucha 
info personal de un objetivo, eso demuestra que tan importante es 
cuidar nuestro opsec en internet y que sin importar las tecnologías 
que usemos, si no las sabemos aplicar, serán tan sólo una puerta sin 
llave. 


